コミケでも吹けるeduroam －会議場にも次世代ホットスポットをー

C95でひっそり吹かれて以来、恒例になりつつあるコミケ会場でのeduroam。2019年冬のC97では気づいた人も多く、twitterでプチバズっていました。慎重な人は「野良eduroam？」と心配していましたが、そう思われるのも仕方ないかもしれません。場所が場所だけに!?……いや、文化的に見れば立派な研究材料が多数転がっているではありませんか。

eduroamを吹くにはローミング契約が必要

教育研究機関向けのeduroamが、どうしてコミケや民間会議場、市街地で吹けるのでしょうか。eduroamでは利用者認証が必須ですが、その機能はどのように実現されているのでしょうか。

まず、冒頭のコミケの例ですが、eduroam JPのウェブサイトにも参加企業として掲載されている、輝日株式会社が提供していました。

eduroamでは、IEEE 802.1Xに基づいた認証方式が用いられています。通称、1X認証などと呼ばれます。他所ではキャリアWi-Fiなどでも用いられているごく一般的な方式です。詳しくはeduroam JPなどのサイトを見ていただくとして、ざっくり述べると、eduroamではAAAサーバ(RADIUSサーバ)、RADIUSプロキシ、無線LAN 基地局を結んだ認証連携ネットワークを用いて、世界中どこの基地局でも利用者認証ができる仕組みになっています。

eduroamを吹こうとした場合、基地局をeduroamの認証連携ネットワークに接続する必要があります。これは誰でも自由にできるものではなく、eduroamの運用者とローミング契約が必要です。すなわち、誰でもeduroamの基地局を立てられるわけではないということです。反対に見れば、正常に認証が通るeduroam基地局は、正規の通信事業者ないしeduroam参加大学 (事業者と同等)が立てたものと見ることができます。

※ 利用者端末の無線LAN設定が正しく行われていることが前提。

eduroamの参加機関には、二種類があります。一つは、大学・研究所のように、自機関の利用者へのアカウント発行と、自機関及び訪問者が利用できる基地局の提供の、両方を行うものです。アカウント発行機関をIDプロバイダ(IdP)、無線LANサービスを提供する機関をサービスプロバイダ(SP)と呼びます。二つ目は、SPのみの機関で、市街地でeduroamを展開するような通信事業者です。もし、通信事業者が自ら、または、システム構築する顧客に対してeduroamサービスを提供したいなら、eduroamに参加すればよいだけです。なお、IdPのみの参加は原則として認められていません。

市街地のeduroamサービスや、eduroamの互恵精神については、以下のエントリもご覧ください。

hgot07.hatenablog.com

コミケのeduroam/Cityroamは次世代ホットスポット

eduroamを吹きたければ、上記のとおり、eduroamにSPとして参加すればよいのです。さて、コミケで吹かれていたeduroam、教育研究機関の人でなくても誰でも利用できるセキュアなローミング基盤「Cityroam」も併設されていました。さらに、このCityroamは、PasspointやHotspot 2.0として知られる規格をベースとした、Next Generation Hotspot (NGH, 次世代ホットスポット)にも対応しています。このため、舞台裏の認証連携ネットワークは、普通のeduroamとちょっと違っていました。

セキュア公衆無線LANローミング研究会、通称NGHSIGにおいて、Cityroamと呼ばれる国内の次世代ホットスポット基盤が運用されています。eduroamのようなローミング基盤は、フェデレーションと呼ばれることがあります。日本には未導入ですが、政府関係者向けのgovroamというものもあります。公衆無線LANで複数のフェデレーションの利用者を受け入れようとすると、これらを結ぶインターフェデレーション・ローミングの仕組みが必要になります。これを実現したのがCityroamです。(Cityroamは現在国内だけの運用ですが、国際展開も可能なアーキテクチャとして設計されています)

Cityroamの認証連携の概要図は、以下のとおりです。複数のフェデレーションやキャリア、無線LAN事業者などを結ぶためのハブ (JP hub)を中心として構成されており、このハブが認証リクエストの経路制御やアクセス制限を行う仕組みです。

Identity federation network of Cityroam. — JP hubを中心とするCityroamの認証連携基盤

図中にあるように、JP hubはWBAのローミング基盤にも接続されており、これを介して世界の携帯電話会社のSIM認証も利用可能になるように準備が進められています。WBAのローミング基盤は、2020/1の執筆時点でまだ開発中ですが、その準備のためのトライアルCity Wi-Fi Roaming (2018)では、実際にCityroam上でAT&TやT-Mobile USなどのSIM認証や、Boingoとのローミングがテストされました。(2019年はトライアルがなく、C97では残念ながらキャリアとのローミングができませんでした)

会議場にも次世代ホットスポットを

ある程度大きな会議になると、会議場に臨時の無線LANが設置されていたり、会議場に据え付けの無線LANシステムに会議用のSSIDが追加されていたりします。大学の施設ならばeduroamがあり、安全・自動接続な無線LANを利用できることがありますが、残念ながら民間の会議場でeduroamが使える場所は非常に限られています。また、企業などの研究者はeduroamが利用できない、学術系ではない会議では同様のシステムがないという問題があります。キャリアWi-Fiが導入されている施設ならまだマシでしょうが、訪日外国人には使いにくい問題があります。

会場で事前共通鍵(PSK)の無線LANが提供されていれば十分ではないかと考える人もいるかもしれません。しかし、PSKは大人数で共通の鍵を利用するため、盗聴のみならず、偽基地局の問題まであります。安全な無線LANシステムを構築しようとすれば、どうしても利用者認証(と個別暗号化)が必要になってきます。それならば、現代の人々はネットワーク上のどこかにアカウントを持っているでしょうから、認証連携でそれを利用したらどうでしょうか。ローミング基盤はまだ開発途上ですが、次世代ホットスポットが普及すれば、そのようなことも容易に実現できるでしょう。Cityroamは、このようなアイディアを具現化しようとするものです。会議場はもちろん、市街地の公衆無線LANも次世代ホットスポットに対応させることは、ネットワークの安全な利用環境の普及という観点でメリットがあります。

会議用無線LANの構築を容易にするCityroam

会議場においてeduroamに対応の無線LANを一時的に構築しようとする場合、従来は、まずどこに問い合わせるべきかを考える問題がありました。また、基地局を認証連携ネットワークに接続するポイントが決まっていませんでした。会議の主催や共催となっている大学が、一時的に認証連携ネットワークを出島として引き出すことも、行われています。しかし、必ずしも最寄りの大学がこのような対応をできるわけではありません。

NGHSIGでは、一時的な会議用無線LANの構築を容易にするために、共通化された基地局の接続手続きと接続点を提供できるよう、運用方式の検討を進めています。試験的に行った例では、JANOG 41, Internet Week 2018, 2019, 大学ICT推進協議会年次大会(AXIES) 2018があります。おっと、コミケもですね。